Omówienie zaawansowanego schematu wyszukiwania zagrożeń
Uwaga
Chcesz skorzystać z usługi Microsoft Defender XDR? Dowiedz się więcej o tym, jak można oceniać i pilotować usługę Microsoft Defender XDR.
Dotyczy:
- Microsoft Defender XDR
Ważna
Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Zaawansowany schemat wyszukiwania zagrożeń składa się z wielu tabel, które zawierają informacje o zdarzeniach lub informacje o urządzeniach, alertach, tożsamościach i innych typach jednostek. Aby efektywnie tworzyć zapytania obejmujące wiele tabel, należy zrozumieć tabele i kolumny w zaawansowanym schemacie wyszukiwania zagrożeń.
Pobieranie informacji o schemacie
Podczas konstruowania zapytań użyj wbudowanego odwołania do schematu, aby szybko uzyskać następujące informacje o każdej tabeli w schemacie:
- Opis tabel — typ danych zawartych w tabeli i źródło tych danych.
- Kolumny — wszystkie kolumny w tabeli.
- Typy akcji — możliwe wartości w kolumnie
ActionTypereprezentujące typy zdarzeń obsługiwane przez tabelę. Te informacje są udostępniane tylko w przypadku tabel zawierających informacje o zdarzeniu. - Przykładowe zapytanie — przykładowe zapytania, które zawierają sposób wykorzystania tabeli.
Uzyskiwanie dostępu do dokumentacji schematu
Aby szybko uzyskać dostęp do odwołania do schematu, wybierz akcję Wyświetl odwołanie obok nazwy tabeli w reprezentacji schematu. Możesz również wybrać pozycję Odwołanie do schematu , aby wyszukać tabelę.
Poznaj tabele schematów
Poniższe odwołanie zawiera listę wszystkich tabel w schemacie. Każda nazwa tabeli łączy się ze stroną opisującą nazwy kolumn dla tej tabeli. Nazwy tabel i kolumn są również wymienione w Microsoft Defender XDR jako część reprezentacji schematu na zaawansowanym ekranie wyszukiwania zagrożeń.
| Nazwa tabeli | Opis |
|---|---|
| AADSignInEventsBeta | Microsoft Entra logowania interakcyjne i nieinterakcyjne |
| AADSpnSignInEventsBeta | Microsoft Entra jednostki usługi i logowania tożsamości zarządzanej |
| AlertEvidence | Pliki, adresy IP, adresy URL, użytkownicy lub urządzenia skojarzone z alertami |
| AlertInfo | Alerty z Ochrona punktu końcowego w usłudze Microsoft Defender, Ochrona usługi Office 365 w usłudze Microsoft Defender, Microsoft Defender for Cloud Apps i Microsoft Defender for Identity, w tym informacje o ważności i kategoryzacji zagrożeń |
| BehaviorEntities | Typy danych zachowania w Microsoft Defender for Cloud Apps |
| BehaviorInfo | Alerty z Microsoft Defender for Cloud Apps |
| CloudAppEvents | Zdarzenia obejmujące konta i obiekty w Office 365 i innych aplikacjach i usługach w chmurze |
| DeviceEvents | Wiele typów zdarzeń, w tym zdarzenia wyzwalane przez mechanizmy kontroli zabezpieczeń, takie jak program antywirusowy Microsoft Defender i ochrona przed lukami w zabezpieczeniach |
| DeviceFileCertificateInfo | Informacje o certyfikacie podpisanych plików uzyskanych ze zdarzeń weryfikacji certyfikatu w punktach końcowych |
| DeviceFileEvents | Tworzenie, modyfikowanie i inne zdarzenia systemu plików |
| DeviceImageLoadEvents | Zdarzenia ładowania biblioteki DLL |
| DeviceInfo | Informacje o maszynie, w tym informacje o systemie operacyjnym |
| DeviceLogonEvents | Logowania i inne zdarzenia uwierzytelniania na urządzeniach |
| DeviceNetworkEvents | Połączenie sieciowe i powiązane zdarzenia |
| DeviceNetworkInfo | Właściwości sieciowe urządzeń, w tym karty fizyczne, adresy IP i MAC, a także połączone sieci i domeny |
| DeviceProcessEvents | Tworzenie procesów i powiązane zdarzenia |
| DeviceRegistryEvents | Tworzenie i modyfikowanie wpisów rejestru |
| DeviceTvmHardwareFirmware | Informacje o sprzęcie i oprogramowaniu układowym urządzeń sprawdzone przez usługę Defender Vulnerability Management |
| DeviceTvmInfoGathering | Zdarzenia oceny usługi Defender Vulnerability Management, w tym stany obszaru konfiguracji i obszaru podatnego na ataki |
| DeviceTvmInfoGatheringKB | Metadane zdarzeń oceny zebranych DeviceTvmInfogathering w tabeli |
| DeviceTvmSecureConfigurationAssessment | Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender zdarzenia oceny wskazujące stan różnych konfiguracji zabezpieczeń na urządzeniach |
| DeviceTvmSecureConfigurationAssessmentKB | Baza wiedzy na temat różnych konfiguracji zabezpieczeń używanych przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender do oceny urządzeń; obejmuje mapowania na różne standardy i testy porównawcze |
| DeviceTvmSoftwareEvidenceBeta | Informacje dowodowe dotyczące miejsca wykrycia określonego oprogramowania na urządzeniu |
| DeviceTvmSoftwareInventory | Spis oprogramowania zainstalowanego na urządzeniach, w tym informacje o ich wersji i stan zakończenia pomocy technicznej |
| DeviceTvmSoftwareVulnerabilities | Luki w zabezpieczeniach oprogramowania znalezione na urządzeniach i lista dostępnych aktualizacji zabezpieczeń, które rozwiązują każdą lukę w zabezpieczeniach |
| DeviceTvmSoftwareVulnerabilitiesKB | Baza wiedzy dotycząca publicznie ujawnionych luk w zabezpieczeniach, w tym tego, czy kod wykorzystujący luki w zabezpieczeniach jest publicznie dostępny |
| EmailAttachmentInfo | Informacje o plikach dołączonych do wiadomości e-mail |
| EmailEvents | Zdarzenia poczty e-mail platformy Microsoft 365, w tym dostarczanie wiadomości e-mail i blokowanie zdarzeń |
| EmailPostDeliveryEvents | Zdarzenia zabezpieczeń występujące po dostarczeniu, gdy platforma Microsoft 365 dostarczy wiadomości e-mail do skrzynki pocztowej adresata |
| EmailUrlInfo | Informacje o adresach URL wiadomości e-mail |
| ExposureGraphEdges | Informacje o krawędzi wykresu ekspozycji usługi Microsoft Security Exposure Management zapewniają wgląd w relacje między jednostkami i zasobami na wykresie |
| ExposureGraphNodes | Informacje o węźle wykresu ekspozycji usługi Microsoft Security Exposure Management dotyczące jednostek organizacyjnych i ich właściwości |
| IdentityDirectoryEvents | Zdarzenia z udziałem lokalnego kontrolera domeny z uruchomioną usługą Active Directory (AD). Ta tabela obejmuje szereg zdarzeń związanych z tożsamością i zdarzeń systemowych na kontrolerze domeny. |
| IdentityInfo | Informacje o kontach z różnych źródeł, w tym Tożsamość Microsoft Entra |
| IdentityLogonEvents | Zdarzenia uwierzytelniania w usługach Active Directory i Microsoft Usługi online |
| IdentityQueryEvents | Zapytania dotyczące obiektów usługi Active Directory, takich jak użytkownicy, grupy, urządzenia i domeny |
| UrlClickEvents | Kliknięcia bezpiecznych linków z wiadomości e-mail, aplikacji Teams i aplikacji Office 365 |
Tematy pokrewne
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Nauka języka zapytań
- Praca z wynikami zapytań
- Używanie zapytań udostępnionych
- Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach
- Stosowanie najlepszych rozwiązań dla zapytań
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla